Debians sikkerhedsbulletin
DSA-1918-1 phpmyadmin -- flere sårbarheder
- Rapporteret den:
- 25. okt 2009
- Berørte pakker:
- phpmyadmin
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 552194.
I Mitres CVE-ordbog: CVE-2009-3696, CVE-2009-3697. - Yderligere oplysninger:
-
Flere fjernudnytbare sårbarheder er opdaget i phpMyAdmin, et værktøj til administrering af MySQL via en webbrowser. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2009-3696
En sårbarhed i forbindelse med udførelse af skripter på tværs af websteder (XSS) gjorde det muligt for fjernangribere at indsprøjte vilkårligt webskript eller HTML gennem et fabrikeret tabelnavn i MySQL.
- CVE-2009-3697
En SQL-indsprøjtningssårbarhed i funktionen til genering af PDF-schema'er gjorde det muligt for fjernangribere at udføre vilkårlige SQL-kommandoer. Dette problem påvirker ikke versionen i Debian 4.0 etch.
Desuden er der tilføjet ekstra beskyttelse i det webbaserede skript setup.php. Selv om den leverede webserveropsætning burde sikre at skriptet er beskyttet, har det i praksis vist sig ikke altid at være tilfældet. Filen config.inc.php er ikke længere skrivbar fra webserverens bruger. Se README.Debian for detaljerede oplysninger om hvordan man aktiverer skriptet setup.php, hvis og når der er brug for det.
I den gamle stabile distribution (etch), er disse problemer rettet i version 2.9.1.1-13.
I den stabile distribution (lenny), er disse problemer rettet i version 2.11.8.1-5+lenny3.
I den ustabile distribution (sid), er disse problemer rettet i version 3.2.2.1-1.
Vi anbefaler at du opgraderer din phpmyadmin-pakke.
- CVE-2009-3696
- Rettet i:
-
Debian GNU/Linux 4.0 (etch)
- Kildekode:
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-13.dsc
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-13.diff.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1.orig.tar.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.9.1.1-13_all.deb
Debian GNU/Linux 5.0 (lenny)
- Kildekode:
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny3.diff.gz
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny3.dsc
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny3.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/p/phpmyadmin/phpmyadmin_2.11.8.1-5+lenny3_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.